複数のサブネットを持つISP接続に2番目のファイアウォールを追加しますか?
私のルーティングの知識は少し錆びています。私は次のように接続されたファイバーインターネット接続を持っています: 
マネージドスイッチは、ISPのボックスを経由する透過LANサービスのVLANを分割します。これはこの問題にはほとんど関係ないと思うので、図から除外しました。
2つの/ 29サブネットがあります( RFC5735 のアドレス例を使用):
- 192.0.2.144/29(.144-151)-メインのもの。ゲートウェイは192.0.2.145で、ファイアウォールのメインアドレスは192.0.2.146です。
- 203.0.113.88/29(.88-.95)-ゲートウェイがなく、ISPによって最初のサブネットにルーティングされる2番目のサブネット(これは私が混乱する部分だと思います)。
ファイアウォールには、両方のサブネットの使用可能なすべてのIPアドレスがWANインターフェイスに追加され、さまざまなサーバーに対してNAT)されます。
次に、ファイアウォールの外側に、独自のファイアウォールを備えた別のネットワークを追加したいと思います。次のように、独自のパブリックIPアドレスが必要です。 
私はまだ203.0.113.94を使用していないので、既存のファイアウォールの追加アドレスから削除して新しいファイアウォールに渡すつもりでした...しかし、それは機能しませんか?サブネット上にゲートウェイはありません。
または、物事を並べ替えて、192.0.2.144/29アドレスの1つを指定することもできます。それは正しく機能し、両方のネットワークが正しく機能するようになりますか?これを行うためのより良い方法はありますか?
NAT-ではなく、実際のパブリックIPを取得できる場合は、新しいファイアウォールを既存のファイアウォールに接続できますが、ウォッチガードファイアウォールでそれを行う方法があるかどうかはわかりません。おそらくさらにサブネット化する必要があり、私はすでにIPアドレスをほとんど使い果たしています。
新しいネットワークは私たちのテストラボになる予定です(それで私はついに本番環境でのテストをやめることができます!)。 2つのネットワークが同じ内部サブネットと実稼働マシンのクローンを持つため、2つのネットワークが相互に通信できるようにしたくありません。新しいファイアウォールには、NATなしのパブリックIPアドレスが必要です。
私はあなたの最善の策はあなたのISPに連絡し、彼らが203.0.113.88/29ブロックであなたに何を与えているかを正確に明らかにすることだと思います。これらのIPアドレスに関する不確実性によって物事が複雑になる理由はありません。
最も理想的なシナリオは、2番目のファイアウォールをそのスイッチに接続し、同じネットワーク上のデフォルトゲートウェイを使用して203.0.113.88/29ネットワーク上のIPの1つをスイッチに与えることです。
iSPはネットワーク内で203.0.113.88/ 29をどのようにルーティングできますか?どういうわけか私はそれが事実だとは思わない。
192.0.2.144/29(または203.0.113.88/29)ネットワークを完全に使用していない場合は、その範囲のIPアドレスをオンにしてスイッチにインターフェイスを配置できるはずです。 2つのIPアドレスを使用することをお勧めします(利用可能な場合)-たとえば、次のようになります。
Switch1:
インターフェイスFaX/X(新しいファイアウォールはここに接続します)
IPアドレス192.0.2.147255.255.255.252!
次に、新しいファイアウォールに配置します
インターフェイスX/X 192.0.2.148 255.255.255.252
これにより、デフォルトゲートウェイの必要性が明確になります。また、/ 29マスクをその上に置き、スイッチで現在使用されているのと同じゲートウェイを使用することもできます。
たとえば(スイッチでVLAN 20を使用しているとしましょう)
VLAN 20IPアドレス192.0.2.145255.255.255.248
インターフェイスFaX/X(新しいファイアウォールはここに接続します)switchport access vlan 20
新しいファイアウォールで
iPアドレス192.0.2.147255.255.255.248
通信なしのルールに関しては、スイッチに個別のサブネットまたはACLが必要です。
お役に立てれば